Angler Exploit Kit - Bandar Ransomware

12 Mei 2016
Angler Exploit Kit
Dalang Ransomware, titisan Dark Avenger
Di tahun 89-90, ada pembuat virus dengan nama Dark Avenger dari Bulgaria yang memiliki pandangan jauh ke depan dimana ia memanfaatkan Bulletin Board (sejenis mailing list) untuk menyebarkan kode virusnya. Hal ini dapat dikatakan cukup cerdik dan mempersatukan para pembuat virus dalam bulletin board dan menyebarkan source code Dark Avenger supaya varian lainnya dapat dibuat berdasarkan source code yang disebarkan. Hal ini jelas membuat industri antivirus yang masih muda kelimpungan dan setengah mati berjuang menghadapi gempuran Dark Avenger dan varian-variannya.
Hal yang sama sebenarnya terjadi pada hari ini dan menurut pengamatan Vaksincom, ada malware yang bisa dinobatkan sebagai titisan Dark Avenger, bahkan dengan prestasi yang jauh melebihi Dark Avenger pada masanya. Malware tersebut dapat dikatakan sebagai malware yang berada di belakang mayoritas serangan malware hari ini yang notabene di dominasi ransomware, malvertising (malicious advertising) dan malware lain seperti trojan, keylogger dan spyware.
Kalau ada yang menebak Cryptowall, Teslacrypt, Locky atau jenis ransomware lainnya seperti Bedep, sebagai informasi tambahan, justru malware ini yang berada di belakang penyebaran empat malware yang disebutkan di atas tadi. Dan lebih menakjubkan lagi, malware ini diperkirakan mendapatkan penghasilan sekitar Rp. 780 milyar per tahun. Sebuah bisnis menggiurkan dan tidak kalah dengan bisnis narkoba namun dengan resiko jauh lebih rendah dari bisnis narkoba yang bisa membawa anda ke hadapan regu tembak.
Adalah Angler Exploit Kit yang berada di balik serangan mayoritas malware pada hari ini dan metode serangan dan pengembangan Angler yang selalu disesuaikan dengan kondisi terkini membuat ia menjadi Exploit Kit paling sukses sampai saat ini.
Gambar 1, Angler Exploit Kit mengeksploitasi berbagai celah keamanan khususnya Internet Explorer dan Adobe (ilustrasi merupakan milik securitypentester.ninja)

Exploit kit adalah jenis malware yang memanfaatkan kelemahan celah keamanan pada piranti lunak populer seperti Adobe Flash, Adobe Reader, Internet Explorer dan Javascript. Exploit kit merupakan piranti lunak khusus yang akan melakukan pemindaian pada komputer sasarannya guna mendapatkan apa kelemahan dari komputer sasarannya dan setelah mendapatkan kelemahan ini ia akan menggunakan kode eksploitasi sesuai dengan kelemahan yang dimiliki oleh sistem komputer yang ditujunya. Exploit kit biasanya dijalankan secara remote dari server komando yang tersembunyi yang akan melakukan remote terhadap komputer proxy guna melakukan remote pada komputer penyebar exploit yang terkadang bisa berlapis-lapis sehingga sangat sulit di lacak.
Beberapa exploit kit yang populer adalah Blackhole dan Nuclear Exploit Kit. Blackhole Exploit Kit yang disebarkan melalui jaringan underground Rusia di tahun 2012 dituding sebagai dalang dibalik maraknya penyebaran malware saat itu oleh beberapa produsen antivirus. Sedangkan Nuclear Exploit Kit adalah exploit kit yang memiliki kemampuan sangat luas dan mampu mengeksploitasi celah keamanan Flash, Silverlight, PDF dan Internet Explorer pada peramban guna menjalankan malware lain dan gunakan oleh beberapa ransomware populer seperti Cryptowall dan Locky untuk menyebarkan dirinya. Namun, kedua exploit kit ini saat ini kalah pamornya dengan exploit kit lain yang menggemparkan dunia sekuriti, tidak lain adalah Angler Exploit Kit. Sebagai bukti kesaktian Angler Exploit Kit, pembuat Locky yang pada awalnya menyebarkan ransomwarenya menggunakan Nuclear Exploit Kit pada pertengahan April 2016 terdeteksi menggantikan dengan Angler Exploit Kit dan langsung beraksi dengan menyebarkan ransomware lain CryptXXX yang beberapa varian awalnya memiliki kelemahan dan bisa didekrip asalkan anda memiliki file asli sebelum dienkripsi.

Kesaktian Angler Exploit Kit
Tentunya ada alasan mengapa Angler bisa dipilih menggantikan Nuclear Exploit Kit dan dapat dikatakan sebagai exploit kit paling berbahaya pada saat ini. Beberapa kehebatan Angler Exploit Kit yang membuat para penggiat sekuriti geleng-geleng adalah :
  • Domain shadowing.
    Domain shadowing adalah proses membajak kredensial pemilik domain dari registran (seperti GoDaddy) tanpa sepengetahuan pemilik domain dan diam-diam membuat banyak subdomain dalam jumlah masif yang kemudian digunakan untuk melakukan aksi jahat seperti mengalihkan akses (redirect) dan eksploitasi. Kemampuan ini bahkan diikuti dengan teknik fileless exploit atau eksploitasi tanpa mengkopikan file malware ke harddisk melainkan hanya menjalankan eksploitasi dari memori sistem yang dieksploitasi.
    Domain shadowing adalah cara efektif untuk menghindari blokir IP atau IP blacklisting karena kredensial domain yang dicuri dalam jumlah masif (belasan ribu) dan setiap domain akan membuat puluhan subdomain untuk aktivitas jahat. Uniknya, subdomain tersebut digunakan hanya beberapa kali saja sehingga penggunaan blacklist terhadap subdomain tidak akan berdampak karena dalam waktu singkat subdomain tersebut digantikan oleh subdomain lain. Memblokir domain yang bersangkutan malah menimbulkan masalah baru karena pemilik domain biasanya tidak menyadari kalau kredensial registrannya dicuri. 
    Teknik domain shadowing ini tidak kalah efektif dibandingkan teknik DDNS (Dynamic DNS) yang juga banyak digunakan oleh malware guna menghadapi blokir / blacklist. Bahkan Domain Shadowing ini memiliki keuntungan lebih sulit dilacak karena tidak perlu membuat akun DDNS dan domain yang digunakan untuk domain shadowing adalah domain curian.

  • Encrypted payload.
    Kalau Google Mail, Facebook dan Internet banking menggunakan enkripsi untuk mengamankan pengguna jasa dari kriminal, dalam hal ini enkripsi sebaliknya digunakan oleh kriminal untuk mengamankan payloadnya dari pantauan produk sekuriti. Jadi payload malware tidak dikirimkan secara telanjang dimana hal ini dengan mudah di deteksi dan dihentikan program sekuriti / antivirus di tengah jalan tetapi dienkripsi terlebih dahulu sehingga program sekuriti tidak bisa mendeteksi aktivitas jahat tersebut sebelum sampai ke komputer tujuannya dan di dekripsi secara otomatis.

  • Terupdate dengan eksploitasi terkini.
    Salah satu keunggulan Angler dibandingkan Nuclear adalah dukungan pembuat exploit kit ini. Dibandingkan dengan exploit kit lain, Angler terdeteksi sangat cepat dalam mengupdate kemampuannya mengeksploitasi celah keamanan terkini. Khususnya zero day exploit dimana pada saat celah keamanan pertama kali ditemukan, belum ada patch (tambalan) atas celah keamanan tersebut dan biasanya tambalan tersedia beberapa hari setelah celah keamanan diumumkan. Waktu tidak ada tambalan inilah merupakan waktu paling riskan karena piranti lunak dengan program antivirus terupdate sekalipun akan bisa dieksploitasi. Kecuali beberapa antivirus yang memiliki kemampuan “anti exploit”.
Payload Angler
Gambar 2, Angler Exploit Kit yang juga menginstalkan ClickFraud Bedep (gambar diambil dari https://blog.rackspace.com Brad Duncan)

Pada saat ini, Angler Explit Kit memiliki 3 payload (aktivitas jahat) yang perlu di waspadai seperti :
  1. Menginstalkan ransomware seperti Locky, Cryptxxx dan cryptowall.
  2. Menginstalkan Clickfraud seperti Bedep.
  3. Instal malware lain seperti Trojan, Spyware dan Keylogger.
Salam,

Alfons Tanujaya
info@vaksin.com
 
PT. Vaksincom
Jl. R.P. Soeroso 7AA
Cikini
Jakarta 10330
Ph : 021 3190 3800

Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom
Twitter : @vaksincom
Share by: